2014 Fiscal Year Annual Research Report
追加学習とアクティブ学習を導入した学習型マルウェア検出・分類システムの開発
| Project/Area Number |
24500173
|
|---|
| Research Institution | Kobe University |
|---|
Principal Investigator |
小澤 誠一 神戸大学, 工学(系)研究科(研究院), 教授 (70214129)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
安藤 類央 独立行政法人情報通信研究機構, その他部局等, 研究員 (30446596)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | 機械学習 / サイバーセキュリティ / 悪性スパムメール攻撃 / ダークネット解析 / DDoSバックスキャッタ判定 / マルウェア感染モニタリング / ビッグデータ / 識別器 |
|---|
| Outline of Annual Research Achievements |
平成26年度では,マルウェア感染を誘導する悪性スパムメール攻撃からユーザを護り,ボット感染した計算機によるスキャン攻撃やDDoS攻撃などを広域的に検知する学習型システムの開発を行った.研究成果を以下にまとめる.
①前年度に開発した悪意スパム判定システムを改良し,時々刻々と収集されるスパムメールをオンラインで悪性度判定し,その結果に基づいて追加学習できるよう拡張した.自動収集されたスパムは,形態素解析や前処理を行った後,L1-SVM識別器による特徴選択とOne-class SVM識別器による未知スパムの判定を行った後, L2-SVM識別器で悪性・非悪性の判定を行う.2013年11月1日~2014年9月23日の期間(326日間),NICTで収集された61,477通のスパムメールに対して追加学習を行った結果,F1値で平均93.5%の精度が得られた.
②未使用IPアドレス群であるダークネットに到達するパケットを収集し,そのトラフィック特徴をクラスタリングすることで,代表的なマルウェア感染状態を求め,/16サブネットの脆弱性を監視するシステムを開発した.2014年2月1日~28日に収集された303,733,994個のダークネットパケットに適用した結果,2014年2月28日にパンデミックが報告された5000/TCPポートを攻撃する新型マルウェアを20日早く,その兆候を捉えることができた.
③前年度に開発したDDoSバックスキャッタ判定を行うシステムを追加学習可能となるよう改良した.2013年1月~12月に観測された80/TCPと53/UDPのパケットからトラフィック特徴を抽出・学習し,2014年1月の80/TCPと53/UDP以外のパケットを用いてテストおよび追加学習を行った.その結果,真陽率,真陰率ともに90%以上の精度でDDoSバックスキャッタの判定が可能であることを示した.
|
